Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour AWS Organizations
AWS Organizations (préfixe de service :organizations) fournit les ressources, actions et clés contextuelles de condition spécifiques aux services suivantes à utiliser dans IAM les politiques d'autorisation.
Références :
-
Découvrez comment configurer ce service.
-
Consultez la liste des APIopérations disponibles pour ce service.
-
Découvrez comment sécuriser ce service et ses ressources à l'aide de politiques IAM d'autorisation.
Rubriques
Actions définies par AWS Organizations
Vous pouvez spécifier les actions suivantes dans l'Actionélément d'une déclaration de IAM politique. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'APIopération ou à la CLI commande portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez spécifier un type ARN de ressource de ce type dans une instruction comportant cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément d'une IAM politique, vous devez inclure un modèle ARN ou pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| AcceptHandshake | Accorde l'autorisation d'envoyer une réponse à l'auteur d'une liaison pour accepter l'action proposée par la demande de liaison (handshake) | Écrire |
iam:CreateServiceLinkedRole |
||
| AttachPolicy | Accorde l'autorisation d'attacher une politique à une racine, une unité organisationnelle ou un compte individuel | Écrire | |||
| CancelHandshake | Accorde l'autorisation d'annuler une demande de liaison (handshake) | Écrire | |||
| CloseAccount | Accorde l'autorisation de fermer une organisation Compte AWS qui fait désormais partie d'une organisation, soit créée au sein de l'organisation, soit invitée à rejoindre l'organisation | Écrire | |||
| CreateAccount | Accorde l'autorisation de créer un Compte AWS membre automatiquement membre de l'organisation avec les informations d'identification à l'origine de la demande | Écrire | |||
| CreateGovCloudAccount | Accorde l'autorisation de créer un compte AWS GovCloud (américain) | Écrire | |||
| CreateOrganization | Accorde l'autorisation de créer une organisation. Le compte avec les informations d'identification qui appelle l' CreateOrganization opération devient automatiquement le compte de gestion de la nouvelle organisation. | Écrire |
iam:CreateServiceLinkedRole |
||
| CreateOrganizationalUnit | Accorde l'autorisation de créer une unité organisationnelle (OU) au sein d'une unité organisationnelle racine ou parent | Écrire | |||
| CreatePolicy | Accorde l'autorisation de créer une politique que vous pouvez associer à une racine, à une unité organisationnelle (UO) ou à un individu Compte AWS | Écrire | |||
| DeclineHandshake | Accorde l'autorisation de refuser une demande de liaison. Cela définit l'état de poignée de main DECLINED et désactive efficacement la demande. | Écrire | |||
| DeleteOrganization | Accorde l'autorisation de supprimer l'organisation | Écrire | |||
| DeleteOrganizationalUnit | Accorde l'autorisation de supprimer une unité organisationnelle d'une unité organisationnelle racine ou d'une autre unité organisationnelle | Écrire | |||
| DeletePolicy | Accorde l'autorisation de supprimer une politique de votre organisation | Écrire | |||
| DeleteResourcePolicy | Accorde l'autorisation de supprimer une politique de votre organisation | Écrire | |||
| DeregisterDelegatedAdministrator | Accorde l'autorisation de désenregistrer le membre spécifié Compte AWS en tant qu'administrateur délégué pour le AWS service spécifié par ServicePrincipal | Écrire | |||
| DescribeAccount | Accorde l'autorisation de récupérer les détails liés à Organizations sur le compte spécifié | Lecture | |||
| DescribeCreateAccountStatus | Accorde l'autorisation de récupérer le statut actuel d'une requête asynchrone pour créer un compte | Lecture | |||
| DescribeEffectivePolicy | Accorde l'autorisation de récupérer la politique effective d'un compte | Lecture | |||
| DescribeHandshake | Accorde l'autorisation de récupérer les détails relatifs à une liaison demandée précédemment | Lecture | |||
| DescribeOrganization | Accorde l'autorisation de récupérer les détails relatifs à l'organisation à laquelle appartiennent les informations d'identification de l'appelant | Lecture | |||
| DescribeOrganizationalUnit | Accorde l'autorisation de récupérer les détails relatifs à une unité organisationnelle (OU) | Lecture | |||
| DescribePolicy | Accorde l'autorisation de récupérer les détails relatifs à une politique | Lecture | |||
| DescribeResourcePolicy | Accorde l'autorisation d'obtenir des informations sur une politique de ressources | Lecture | |||
| DetachPolicy | Accorde l'autorisation de détacher une politique d'une racine cible, d'une unité organisationnelle ou d'un compte | Écrire | |||
| DisableAWSServiceAccess | Accorde l'autorisation de désactiver l'intégration d'un AWS service (le service spécifié par ServicePrincipal) avec AWS Organizations | Écrire | |||
| DisablePolicyType | Accorde l'autorisation de désactiver un type de politique d'organisation dans une racine | Écrire | |||
| EnableAWSServiceAccess | Accorde l'autorisation d'activer l'intégration d'un AWS service (le service spécifié par ServicePrincipal) avec AWS Organizations | Écrire | |||
| EnableAllFeatures | Accorde l'autorisation de démarrer le processus d'activation de toutes les fonctions dans une organisation, afin de la mettre à niveau pour qu'elle ne prenne pas seulement en charge les fonctions de facturation consolidée | Écrire | |||
| EnablePolicyType | Accorde l'autorisation d'activer un type de politique dans une racine | Écrire | |||
| InviteAccountToOrganization | Accorde l'autorisation d'envoyer une invitation à une autre Compte AWS personne, en lui demandant de rejoindre votre organisation en tant que compte membre | Écrire | |||
| LeaveOrganization | Accorde l'autorisation de supprimer un compte membre de son organisation parent | Écrire | |||
| ListAWSServiceAccessForOrganization | Accorde l'autorisation de récupérer la liste des AWS services pour lesquels vous avez activé l'intégration dans votre organisation | Liste | |||
| ListAccounts | Accorde l'autorisation de répertorier tous les comptes de l'organisation | Liste | |||
| ListAccountsForParent | Accorde l'autorisation de répertorier les comptes d'une organisation qui se trouvent dans une racine ou une unité organisationnelle (OU) | Liste | |||
| ListChildren | Accorde l'autorisation de répertorier tous les comptes OUs ou contenus dans une unité d'organisation parent ou racine | Liste | |||
| ListCreateAccountStatus | Accorde l'autorisation de répertorier les demandes de création de compte asynchrones qui font actuellement l'objet d'un suivi pour l'organisation | Liste | |||
| ListDelegatedAdministrators | Accorde l'autorisation de répertorier les AWS comptes désignés comme administrateurs délégués dans cette organisation | Liste | |||
| ListDelegatedServicesForAccount | Accorde l'autorisation de répertorier les AWS services pour lesquels le compte spécifié est un administrateur délégué dans cette organisation | Liste | |||
| ListHandshakesForAccount | Accorde l'autorisation de répertorier toutes les liaisons qui sont associées à un compte | Liste | |||
| ListHandshakesForOrganization | Accorde l'autorisation de répertorier les liaisons qui sont associées à l'organisation | Liste | |||
| ListOrganizationalUnitsForParent | Accorde l'autorisation de répertorier toutes les unités organisationnelles (OUs) d'une unité organisationnelle parent ou racine | Liste | |||
| ListParents | Accorde l'autorisation de répertorier la racine ou les unités organisationnelles (OUs) qui servent de parent immédiat à une unité d'organisation ou à un compte enfant | Liste | |||
| ListPolicies | Accorde l'autorisation de répertorier toutes les stratégies d'une organisation | Liste | |||
| ListPoliciesForTarget | Accorde l'autorisation de répertorier toutes les stratégies qui sont attachées directement à une racine, une unité organisationnelle (OU) ou un compte | Liste | |||
| ListRoots | Accorde l'autorisation de répertorier toutes les racines qui sont définies dans l'organisation | Liste | |||
| ListTagsForResource | Accorde l'autorisation de répertorier toutes les balises pour la ressource spécifiée | Liste | |||
| ListTargetsForPolicy | Accorde l'autorisation de répertorier toutes OUs les racines et tous les comptes auxquels une politique est attachée | Liste | |||
| MoveAccount | Accorde l'autorisation de déplacer un compte de sa racine ou unité organisationnelle actuelle vers une autre racine ou unité organisationnelle parent | Écrire | |||
| PutResourcePolicy | Accorde l'autorisation de créer ou de mettre à jour une politique de ressource | Écrire | |||
| RegisterDelegatedAdministrator | Accorde l'autorisation d'enregistrer le compte de membre spécifié pour administrer les fonctionnalités du AWS service Organizations spécifié par ServicePrincipal | Écrire | |||
| RemoveAccountFromOrganization | Accorde l'autorisation de supprimer le compte spécifié de l'organisation | Écrire | |||
| TagResource | Accorde l'autorisation d'ajouter une ou plusieurs identifications à la ressource spécifiée | Balisage | |||
| UntagResource | Accorde l'autorisation de supprimer une ou plusieurs balises de la ressource spécifiée | Identification | |||
| UpdateOrganizationalUnit | Accorde l'autorisation de renommer une unité organisationnelle (OU) | Écrire | |||
| UpdatePolicy | Accorde l'autorisation de mettre à jour une politique existante avec un nouveau nom, une nouvelle description ou un nouveau contenu | Écrire | |||
Types de ressources définis par AWS Organizations
Les types de ressources suivants sont définis par ce service et peuvent être utilisés dans l'Resourceélément des déclarations de politique d'IAMautorisation. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| account |
arn:${Partition}:organizations::${Account}:account/o-${OrganizationId}/${AccountId}
|
|
| handshake |
arn:${Partition}:organizations::${Account}:handshake/o-${OrganizationId}/${HandshakeType}/h-${HandshakeId}
|
|
| organization |
arn:${Partition}:organizations::${Account}:organization/o-${OrganizationId}
|
|
| organizationalunit |
arn:${Partition}:organizations::${Account}:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}
|
|
| policy |
arn:${Partition}:organizations::${Account}:policy/o-${OrganizationId}/${PolicyType}/p-${PolicyId}
|
|
| resourcepolicy |
arn:${Partition}:organizations::${Account}:resourcepolicy/o-${OrganizationId}/rp-${ResourcePolicyId}
|
|
| awspolicy |
arn:${Partition}:organizations::aws:policy/${PolicyType}/p-${PolicyId}
|
|
| root |
arn:${Partition}:organizations::${Account}:root/o-${OrganizationId}/r-${RootId}
|
Clés de condition pour AWS Organizations
AWS Organizations définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une IAM politique. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction des identifications transmises dans la demande | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction des identifications associées à la ressource | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction des clés d'identification qui sont transmises dans la demande | ArrayOfString |
| organizations:PolicyType | Filtre l'accès en fonction du type de tâche spécifié | Chaîne |
| organizations:ServicePrincipal | Filtre l'accès en fonction du service principal spécifié | Chaîne |
